안녕하세요 주식회사 파이입니다! ^^
지난 포스팅에는 23년도 개인정보 보호법 개정사항 중에서 개인정보 처리 일반에 대해 적용되는 규정에 대해 알아보았는데요,
이번에는 영상정보처리기기, 국외이전 등 특수한 개인정보 처리 유형에 관한 개정사항에 대해 알아보도록 하겠습니다.
02. 특수한 개인정보 처리 유형에 관한 규정
2.1. 영상정보처리기기 규정 정비
- 고정형 영상정보처리기기 규정 정비(제2조 제7호, 제25조 제1항)
| 기존 | ▷ 고정형 영상정보처리기기 요건 : 일정한 공간에 '지속적' 으로 설치되어 있을 것 ▷ 시설안전 및 화재 예방, 교통단속 등을 위한 경우에는 영상정보처리기기 설치,운영이 가능 |
| 개정 | ▶ 고정형 영상정보처리 기기 요건 : 기존의 지속성 외에 '주기성' 요건 추가됨 ▶ 시설안전 및 화재 예방, 교통단속 등을 위한 경우 정당한 권한을 가진 자에 의하여 영상정보처리기기 설치,운영 되어야 함 |
- 이동형 영상정보처리기기에 대한 규정 신설(제2조 제7의2호, 제25조의2)
| 기존 | ▷ 고정형 영상정보처리기기에 대해서만 규정 |
| 개정 | ▶ 드론, 자율주행차 등 이동형 영상정보처리기기에 대한 규정 신규 도입 |
1. 업무 목적으로 공개된 장소에서 개인정보에 해당하는 영상을 촬영하는 행위는 정보주체의 동의를 받는 등 제15조 제1항에 따라 개인정보의 수집ㆍ이용이 가능한 경우
2. 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우로서 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 않는 경우 등에 허용
→ 해당 조항은 현행 개인정보 보호법에 의하면 불특정 다수로부터 개인정보 수집 및 이용 동의를 받지 않으면 드론, 자율주행자동차 등을 이용한 촬영에 상당한 제약이 따른다는 문제점을 해소한 것에 의의가 있습니다.
다만, 촬영 거부 의사를 표시하는 방법 등 여전히 불분명한 부분이 존재하여 향후 시행령의 내용 및 개인정보보호위원회 등의 구체적인 해석을 지켜볼 필요가 있습니다.
2.2. 자동화된 결정에 대한 대응권 도입(제4조 제6호, 제37조의2)
|
개정
|
▶ 정보주체의 권리에 자동화된 결정에 대한 거부권과 설명 요구권이 도입(제37조의2, 공포 후 1년이 경과한 날부터 시행)
※ 자동화된 결정 : “인공지능 기술을 적용한 시스템 등 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외)”을 말함 ▶ 위와 같은 정보주체의 요구에 대하여 개인정보처리자는 정당한 사유가 없는 한 자동화된 겨자동화된 결정을 적용하지 않거나, 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 하여야 함 ▶ 개인정보처리자는 정보주체가 쉽게 확인할 수 있도록 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 공개하는 등의 조치를 취하여야 함 |
1. 정보주체의 동의를 받은 경우
2. 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
에 따라 이루어지는 경우에는 거부권을 행사할 수 없습니다.
2.3. 개인정보 국외이전 요건 다양화 및 국외이전 중지명령권 신설
|
기존
|
▷ 기존 개인정보 국외이전 관한 규정: 제17조 제3항, 제39조의12
|
|
개정
|
▶ 기존 개인정보 국외이전 관련 규정 삭제 및 별도 조항 신설(제28조의8, 제28조의9)
|
- 개인정보 국외이전의 요건 다양화(제28조의8)
1. 정보주체의 동의 이외에 아래와 같이 요건이 확대됨
① 정보주체가별도 동의한 경우
② 법률, 조약, 국제협정에 개인정보 국외이전에관한 특별한 규정이 있는 경우
③ 계약의 체결과 이행을 위해 개인정보의 처리위탁ㆍ보관이필요한 경우로서
■ 정보주체로부터 개인정보 국외이전에 관한 동의 취득 시 사전에 알려야 하는 사항을 개인정보 처리방침에 공개한 경 우 또는
■ 위 사항을 전자우편 등 시행령으로정하는 방법에 따라 정보주체에게통지한 경우
④ 개인정보를 이전받는 자가 개인정보보호위원회가 고시하는 개인정보 보호 인증 등을 받은 경우로서 아래 조치를 모두 한 경우
■ 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
■ 인증받은 사항을 개인정보가이전되는 국가에서 이행하기 위해 필요한 조치
⑤ 개인정보가 이전되는 국가 또는 국제기구의 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등의 보호 수준이 「개인정보 보호법」에 따른 보호 수준과 실질적으로 동등한 수준임을 개인정보보호위원회가인정하는 경우
2. 정보주체로부터 동의 취득 시 사전에 알려야 하는 사항
5호 추가
개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
- 개인정보 국외이전에 대한 중지명령권(제28조의9) 신설
|
개정
|
▶ 개인정보 국외이전에 대한 명령중지권 신설
제28조의9(개인정보의 국외 이전 중지 명령) ① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다. 1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우 2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우 ② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다. ③ 제1항에 따른 개인정보 국외 이전 중지 명령의 기준, 제2항에 따른 불복 절차 등에 필요한 사항은 대통령령으로 정한다. |
이번 개정은 개인정보 국외이전의 요건을 확대하여 국외이전에 대한 증가하는 수요를 반영하는 한편, GDPR에서 감독기관의 권한으로 이미 규정하고 있던 개인정보 국외이전에 대한 중지명령권을 명시함으로써 국제 기준과의 간극을 좁혔다고 평가됩니다.
[참고사이트 : https://www.leeko.com/leenko/news/newsLetterList.do?lang=KR]
그럼 지금까지 특수한 개인정보 처리 유형에 관한 개정사항을 알아보았습니다.
다음 포스팅에서는 개인정보 전송요구권에 대한 규정 개정사항을 알아보도록 하겠습니다.
감사합니다 ^^
주식회사 파이 멋진 동료들과 함께할 정보보호 컨설턴트를 모집하고 있습니다
많은 관심 부탁 드립니다 ㅎㅎ
파이 정보보호 컨설턴트 채용공고 바로가기
[(주)파이] 정보보호 컨설턴트 모집(신입)(D-12) - 사람인
(주)파이, 정보보호 컨설턴트 모집(신입), 경력:신입, 학력:대학교졸업(4년)이상, 연봉:면접 후 결정 , 마감일:2023-04-01, 홈페이지:pieinc.co.kr
www.saramin.co.kr
감사합니다 :)
'보안 동향, 이슈' 카테고리의 다른 글
| 2023 개인정보보호법 주요 개정 사항(3) (0) | 2023.03.23 |
|---|---|
| 2023 개인정보 보호법 주요 개정 사항(1) (0) | 2023.03.21 |
댓글